Hacked!

După cum cel mai probabil aţi observat astăzi, am fost hackuit, violat, închis, pus la colţ, interzis temporar, etc. A durat câteva ore până a revenit site-ul pentru că, fiind la muncă, nu am avut la îndemână un backup al fişierelor.

Ce s-a întâmplat? Habar n-am exact, dar mulţumesc celor ce mi-au spus pe Twitter şi email de problemă, că altfel o observam mult mai târziu. Bănuiesc că a fost exploatată o vulnerabilitate în versiunea de WordPress pe care o foloseam, cineva putând să-mi schimbe fişierul index.php cu unul modificat şi să capete acces şi la baza de date, unde mi-a modificat parola de la user şi adresa de email pe care era înregistrat. S-a rezolvat cu un backup de fişiere şi cu o editare manuală a tabelei din bazei de date.

Ce puteţi face şi voi că să vă păziţi de aşa ceva?

1. Folosiţi cea mai recentă versiune de WordPress. Nu contează că nu aduce multe îmbunătăţiri aparente sau că cea pe care o aveţi acum merge foarte bine. Faceţi update-ul ca să fiţi mai în siguranţă.
2. Instalaţi un plugin de securitate pentru WordPress. Acesta vă va raporta tot felul de probleme cu .htaccess, useri, acces acolo unde nu trebuie, etc. Există un tag “security” în ecranul de instalare pluginuri şi găsiţi prin el unelte de verificare şi rezolvare a diverselor probleme.
3. Nu utilizaţi pluginuri dubioase.
4. Backup des, măcar săptămânal.

Dacă deja aţi păţit fază urâtă:

1. Intraţi imediat acolo unde aveţi hostingul şi schimbaţi parola la contul de hosting, la FTP-ul de pe site şi la baza de date. Verificaţi dacă vă puteţi loga pe blog. Dacă nu, intraţi tot prin contul de hosting în baza de date şi verificaţi tabela wp_users. Ar trebui să fie acolo userul vostru cu o parolă indescifrabilă şi adresa voastră de email. Dacă cineva v-a modificat doar parola, generaţi alta din ecranul de login în WordPress prin opţiunea “generate new password”. Dacă v-a modificat şi adresa de email (cum păţisem eu, asta am văzut-o în tabelă), modificaţi chiar în baza de date adresa corectă de email, apoi generaţi o altă parolă.
2. Începeţi să săpaţi după probleme. Căutaţi ce s-a modificat: cel mai simplu este să vă uitaţi la data modificării fiecărui fişier cu programul de FTP. Se vede imediat ce s-a schimbat în acea zi. Uitaţi-vă la index.php din diverse locuri, verificaţi toate .htaccess că poate v-a fost lăsat acolo cod ce poate fi utilizat ulterior pentru o altă spargere, verificaţi dacă au apărut fişiere.php sau .js noi pe server (cel mai simplu e să comparaţi cu o versiune curată de wordpress sau cu un backup). Verificaţi fiecare setare din dashboard-ul de WordPress, în special userii, după cum ziceam.
3. Verificaţi toate fişierele ce afişează ceva pe ecran. Index.php, header, footer, sidebar, totul. Poate fi cod ascuns prin ele, pot fi elemente neafișate, dar care vor figura pe blog.
4. După ce aţi refăcut totul şi sunteţi sigur că nu există şi alte probleme, faceţi update la cea mai recentă versiune de WordPress şi aveţi grijă să fiţi mereu la zi cu ea şi cu pluginurile.

Dacă ce am zis vi se pare prea tehnic și nu puteți rezolva singuri/singure, apelați la vreun cunoscut mai geek.